Abordagem de revisão de segurança cibernética

Escritório nacional de informação na internet

Comissão nacional de desenvolvimento e reforma da república popular da china

Ministério da indústria e informática da república popular da china

República popular da china ministério da segurança pública

Ministério da segurança nacional da república popular da china

Ministério das finanças

Ministério do comércio da república popular da china

Banco popular da china

Direcção-geral de fiscalização do mercado

Administração nacional de rádio e televisão

Comissão de supervisão de valores mobiliários da china

Serviço secreto do estado

Autoridade nacional de senhas

faz

Número número 8

As medidas de revisão de segurança cibernética foram consideradas e adotadas pela 20 ª reunião da sala do escritório nacional de informações na internet em 2021 em 16 de novembro de 2021, E pela comissão nacional de desenvolvimento e reforma, da indústria e da tecnologia da informação, ministério da segurança pública, segurança nacional, ministério das finanças, do comércio, do banco popular da china, o mercado nacional, administração, nacional de rádio e televisão, comissão reguladora de títulos da china, administração nacional, administração nacional de código concorda, anunciou o presidente, desde 15 de fevereiro de 2022.

Diretor do escritório nacional de informações na internet rongmoon zhang

Ho lifeng, diretor da comissão nacional de desenvolvimento e reforma

Xiao yaqing, ministro da indústria e tecnologia da informação

Ministro da segurança pública zhao kezhi

Ministro da segurança nacional wenqing chen

Ministro das finanças liu kun

Ministro do comércio wang wintao

Presidente do banco popular da china yi-un

Zhang gong, diretor da administração nacional de supervisão do mercado

Diretor da administração nacional de rádio e televisão nietzsche

Presidente da comissão de supervisão de valores mobiliários da china yi huian man

Chefe do serviço secreto li zhaozong

Diretor da autoridade nacional de criptografia liu dong

28 de dezembro de 2021

Abordagem de revisão de segurança cibernética

Artigo 1.o para assegurar a infra-estrutura da informação crítica a segurança da cadeia de abastecimento, redes de segurança e a segurança dos dados, segurança nacional, de manutenção de acordo com a lei de segurança nacional da república popular da china, república popular da china internet security act, lei de segurança dos dados da RPC, a portaria a chave da segurança da infra-estrutura da informação, são formuladas.

Artigo 2. Se um operador de infraestrutura de informação crítica adquirir produtos e serviços de rede e um operador de plataforma de rede realizar atividades de processamento de dados que afetem ou possam afetar a segurança nacional, uma revisão de segurança cibernética será realizada de acordo com estas medidas.

Os operadores de infraestrutura de informação crítica e os operadores de plataformas de rede, conforme especificado no parágrafo anterior, são coletivamente designados como partes.

Artigo 3.o revisão de segurança de rede insistiu contra riscos de segurança de rede e promover a aplicação combinada de tecnologia avançada e justiça transparente e combinar a protecção da propriedade intelectual, censura prévia e a combinação de regulamentação, as empresas contínuo compromisso combinado com controlo social, segurança de produtos e serviços e actividades de processamento de dados, revisão pode causar riscos de segurança nacional, etc.

Artigo 4. Sob a liderança do comitê central de segurança cibernética e informatização, Gabinete de informação da internet nacional em colaboração com a comissão nacional de desenvolvimento e reforma da república popular da china, da república popular da china e da tecnologia da informação industrial, ministério da segurança pública da república popular da china, da segurança do estado da república popular da china, ministério das finanças da república popular da china, da república popular da china, o banco popular da china, o mercado nacional de comércio, administração, nacional de rádio e televisão, china A comissão de supervisão de valores mobiliários, a autoridade nacional de segurança secreta, a autoridade nacional de criptografia para estabelecer um mecanismo de trabalho de revisão de segurança cibernética nacional.

O escritório de revisão de segurança cibernética, localizado no escritório nacional de informações na internet, é responsável por desenvolver as normas institucionais relacionadas à revisão de segurança cibernética e organizar a revisão de segurança cibernética.

Artigo 5. Quando um operador de infraestrutura de informação crítica adquirem produtos e serviços de rede, deve antecipar os riscos de segurança nacional que esses produtos e serviços podem apresentar após a entrada em serviço. Qualquer pessoa que afete ou possa afetar a segurança nacional deve declarar uma revisão de segurança cibernética ao escritório de revisão de segurança cibernética.

Segurança da infra-estrutura de informação crítica protecção do trabalho departamento pode desenvolver esta indústria, este campo de pré-avaliação de diretrizes.

Artigo 6.o revisão de segurança para as redes declaração contratos, informações importantes operadores de infra-estruturas devem exigir documentos através de concurso, protocolos, etc produtos e prestadores de serviços de revisão de segurança da rede, incluindo a promessa não fornece produtos e serviços de conveniência ilegalmente equipamento utilizador, controle e manipulação ilegal de dados, Não interromper o fornecimento de produtos ou serviços de suporte técnico necessários sem motivo justificado, etc.

Artigo 7. Os operadores de plataformas online que possuam informações pessoais de mais de 1 milhão de usuários para listagem no exterior devem declarar a verificação de segurança cibernética ao escritório de revisão de segurança cibernética.

Artigo 8. Para declarar uma revisão de segurança cibernética, as partes devem apresentar o seguinte:

1) uma declaração;

(ii) relatórios de análise que afetem ou possam afetar a segurança nacional;

(iii) documentos de compra, acordos, contratos a serem celebrados ou pedidos de listagem a serem apresentados, como IPO;

(iv) outros materiais necessários para o trabalho de revisão de segurança cibernética.

Artigo 9. O escritório de revisão de segurança cibernética determinará, dentro de 10 dias úteis a contar da recepção do material de declaração de revisão em conformidade com o disposto no artigo 8. º, se a revisão é necessária e notificará as partes por escrito.

A revisão de segurança cibernética do artigo 10 concentra-se na avaliação dos seguintes fatores de risco de segurança nacional para o objeto ou situação relevante:

(i) o risco de que a infraestrutura de informação crítica seja ilegalmente controlada, sofra interferência ou seja danificada após a utilização dos produtos e serviços;

(ii) perigos para a continuidade do negócio da infraestrutura de informação crítica devido à interrupção do fornecimento de produtos e serviços;

— a segurança, a abertura, a transparência dos produtos e dos serviços, a diversidade das fontes, a fiabilidade dos canais de abastecimento e o risco de interrupção do abastecimento devido a factores políticos, diplomáticos, comerciais, etc.;

D) conformidade dos fornecedores de produtos e serviços com as leis chinesas, regulamentos administrativos, regulamentos departementais;

5) risco de roubo, divulgação ou destruição de dados essenciais, dados importantes ou grandes quantidades de informações pessoais, bem como exploração ilegal ou saída ilegal;

(vi) existe o risco de listagem de infraestrutura de informação crítica, dados fundamentais, dados importantes ou grandes quantidades de informações pessoais serem influenciadas, controladas ou utilizadas maliciosamente por governos estrangeiros, bem como o risco de segurança da informação cibernética;

(vii) outros fatores que possam comprometer a segurança da infraestrutura de informação crítica, segurança cibernética e segurança de dados.

Artigo 11. Caso o escritório de revisão de segurança cibernética considere necessário realizar uma revisão de segurança cibernética, concluirá a revisão preliminar no prazo de 30 dias úteis a contar da data de notificação por escrito às partes, incluindo a formulação da proposta de conclusão da revisão e o envio da proposta de conclusão da revisão às unidades membros do mecanismo de revisão de segurança cibernética, departamentos relevantes para comentários; Em caso de complicação, pode ser prorrogado por 15 dias úteis.

Artigo 12. As unidades membros do mecanismo de trabalho de revisão de segurança cibernética e departamentos relevantes devem responder por escrito a comentários no prazo de 15 dias úteis a contar da data de recebimento da proposta de conclusão da revisão.

Em caso de concordância entre as unidades membros do mecanismo de trabalho de revisão de segurança cibernética e os departamentos relevantes, o escritório de revisão de segurança cibernética informará as partes das conclusões da revisão por escrito; Em caso de desacordo, as partes são tratadas de acordo com o procedimento especial de exame e notificadas.

Em conformidade com artigo 13.o processo de revisão tratamento especial, organismo de exame de segurança online, unidades e departamentos relevantes serão ouvidos, uma avaliação aprofundada análise, formam a análise sugere, novamente e pedir revisão de segurança online, unidades de mecanismos de estado e autoridades parecer, aprovação pelo procedimento a comissão central de rede de segurança e informação, Formar conclusões de revisão e notificar as partes por escrito.

Artigo 14. º o procedimento especial de exame será concluído, regra geral, no prazo de 90 dias úteis, podendo ser prorrogado em casos complexos.

Artigo 15. Se o escritório de revisão de segurança cibernética solicitar material adicional, as partes e os fornecedores de produtos e serviços cooperarão. O tempo de envio de material complementar não conta para o tempo de revisão.

Artigo 16. Os produtos e serviços cibernéticos e as atividades de processamento de dados que as unidades membros do mecanismo de trabalho de revisão de segurança cibernética considerarem que afetem ou possam afetar a segurança nacional serão revisados pelo escritório de revisão de segurança cibernética para aprovação pelo comitê central de segurança cibernética e informatização de acordo com o procedimento, de acordo com as disposições deste regulamento.

Para evitar riscos, as partes devem adotar medidas de prevenção e mitigação de riscos durante a revisão, de acordo com os requisitos da revisão de segurança cibernética.

Art. 17. As instituições e pessoas relevantes envolvidas na revisão de segurança cibernética devem proteger estritamente os direitos de propriedade intelectual e assumir a obrigação de confidencialidade de segredos comerciais, informações pessoais, materiais não divulgados apresentados pelas partes, produtos e fornecedores de serviços e outras informações não divulgadas que tenham conhecimento durante o trabalho de revisão; Não pode ser divulgado a partes não relacionadas ou usado para fins que não a revisão sem o consentimento da parte que fornece a informação.

Artigo 18. As partes ou os fornecedores de produtos e serviços on-line podem relatar ao escritório de revisão de segurança cibernética ou às autoridades competentes se eles acreditarem que os censores estão faltando objetivamente e imparcialmente, ou se eles não assumiram o dever de confidencialidade das informações conhecidas durante o trabalho de revisão.

Art. 19. As partes devem instar os fornecedores de produtos e serviços a cumprirem os compromissos assumidos na revisão de segurança cibernética.

O escritório de revisão de segurança cibernética reforça a supervisão ex-ante-em-post através de formas como a aceitação de denúncias.

Artigo 20. O tratamento será feito de acordo com as disposições da lei de segurança cibernética e da lei de segurança de dados da república popular da china se a parte violar estas medidas.

Artigo 21.o para os produtos e serviços de rede principalmente equipamento da rede principal, importantes produtos de comunicação, computadores e servidores de alto desempenho, dispositivos de armazenamento em massa, grandes bases de dados e aplicações, equipamentos de segurança de rede, serviços de cloud computing, e outras informações cruciais para a segurança de infra-estruturas, redes de segurança e os dados de segurança importante influência de produtos e serviços.

No que respeita às informações secretas de estado, o artigo 22.o aplica-se em conformidade com as disposições nacionais pertinentes em matéria de confidencialidade.

Se a revisão nacional de segurança de dados e a revisão de segurança de investimento estrangeiro estipularem o contrário, elas devem ser cumpridas simultaneamente.

Artigo 23. As medidas entrarão em vigor em 15 de fevereiro de 2022. Lançado em 13 de abril de 2020 as medidas de revisão de segurança de rede (serviço nacional de informações na internet, a comissão nacional de desenvolvimento e reforma, industrial e da tecnologia da informação, ministério da segurança pública, segurança nacional, ministério das finanças, do comércio, do banco popular da china, a administração do mercado nacional, administração estatal de rádio e televisão, administração nacional, administração nacional de senha de 6) e resíduos Pára.